Segnalato bug di gravità elevata nella libreria client OAuth di Google per Java

Il mese scorso, Google ha corretto un difetto molto grave nella sua libreria client OAuth per Java che poteva essere sfruttato da un attore malintenzionato con un token compromesso per payload arbitrari.

Tracciato come CVE-2021-22573La vulnerabilità è valutata 8,7 su 10 per gravità e si riferisce a un bypass di autenticazione nella libreria derivante da una verifica della firma crittografica non corretta.

Il merito di aver scoperto e segnalato il difetto il 12 marzo è Tamjid Al Rahat, un dottorato di ricerca del quarto anno. studente di informatica presso l’Università della Virginia, che ha ricevuto $ 5.000 attraverso il programma di ricompense dei bug di Google.

“La vulnerabilità è che il verificatore IDToken non è riuscito se il token è firmato correttamente”, ha affermato un avviso per il difetto acceso.

“La verifica della firma garantisce che il carico utile del token provenga da un provider valido, non da qualcun altro. Un utente malintenzionato può fornire un token compromesso con un payload personalizzato. Il token supererà la convalida lato client.

La libreria Java open source integrata nella libreria client HTTP di Google per Java ti consente di ottenere token di accesso a qualsiasi servizio sul Web che supporta lo standard di autorizzazione OAuth.

Google, nel suo file README per il progetto su GitHub, rileva che la libreria è supportata in modalità manutenzione e corregge solo i bug necessari, indicando la gravità della vulnerabilità.

Si consiglia agli utenti della libreria google-oauth-java-client di aggiornare alla versione 1.33.3 rilasciata il 13 aprile, per ridurre qualsiasi potenziale rischio.

Leave a Comment